阿里云上的一台 ECS 上今早中了经典的 Watchdog 挖矿脚本,看起来似乎是跟最近的 Apache Solr 漏洞有关,早前 base64 解码定时任务脚本,脚本上有黑客留下的邮箱,大致就是说你很烦恼的话就发邮件给他,他会提供清理脚本。
这个脚本是有用的,不过今天遇到的这个,似乎改变了病毒运行的方式,在 ssh 登陆的时候就立马执行。
我现在 ssh 到这台 ECS,屏幕上就显示:
sed: cannot rename /etc/sedXU4lJe: Operation not permitted
sed: cannot rename /etc/sedIM7XCe: Operation not permitted
curl: (35) SSL connect error
bash: line 1: wget: command not found
然后才到正式登陆到系统
我是把拉病毒的在线粘贴板用 iptables 屏蔽了,还给 hosts 文件加了锁,干脆又把 wget 命令给干掉了,自然而然他的挖矿病毒就跑不起来了。
巡查了所有的定时任务 cron 及 ld.preload 相关的文件,都清理干净了,不过这个登陆即运行的设置估计是丢在.bashrc 或.bash_profile,果不其然,干掉,一切恢复正常。
有用到 Apache Solr 的,还是升级到最新版吧,很烦。话说黑客写的 shell 真的是考虑得十分周全,期待下一次来个 rootkit...
相关:
https://developer.aliyun.com/article/725472这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
https://www.v2ex.com/t/622160
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.